2019年全国网络安全态势分析报告-安恒信息风暴中心
2020-03-11 07:00:42 Author: www.freebuf.com(查看原文) 阅读量:193 收藏

一、整体态势综述 

安全数据大脑针对2019年全国WEB站点的安全态势进行分析,对全国网站进行梳理,整体安全态势要点如下:

全国目前在线网络资产1.879亿,在重要网络资产中,网站/WEB系统数量最多,其中域名网站资产中,政府类站点有82,360个,事业单位类站点有237,151个。

2019年,全国被植入暗链的政府机关和事业单位网站数量为18,232个(去重后),其中政府机关网站有4,712个,事业单位网站有13,719个。

全国存在36,210个资产因为管理不规范(如:僵尸网站)而存在一定的风险。

二、重要单位资产底数分析 

安全数据大脑探测发现全国在线网络资产有1.879亿,其中重要网络资产8,561万,在重要网络资产中,网站/WEB系统数量最多。

2.1   重要网络资产中网站资产最多

重要网络资产包括重要行业的网站/WEB业务系统、FTP服务、监控设备、数据库、邮箱服务、工控设备,共有6类。全国的重要网络资产数量共有8,561万个,各类资产分布如下:

2.2 重要网络资产分类分析

2.2.1   重要行业网站/WEB业务系统分布

安全数据大脑探测发现全国重要行业的网站/WEB业务系统总量有5,439万个,另外还有未备案业务系统484.5万个。在重要WEB站点网站资产中,域名类Web资产有1150万,IP类网站资产有4,289万,政府类站点有82,360个,事业单位类站点有237,151个。

对全国已备案的重要域名网站资产的根据单位行政归属进行区域分布统计,发现资产主要集中在广东、北京等一线区域:

对全国已备案的重要域名网站资产进行行业分布统计,发现资产主要是企业为主,占域名网站总数量的40.6%。除企业外,事业单位、政府机关和社会团体等重要网站数量分布如下:

2.2.2   联网工控厂商设备类型分布

工控系统是地区内极为重要的生产系统,如存在安全风险,则面临严重的经济生产损失,应尽量避免开放在互联网中或应进行严格网络访问权限的限制,对这类系统联网情况需进行摸排。以下是全国联网工控系统的地区分布:

2.2.3  数据库服务类型

全国提供数据库服务的网络资产有257,472个,开放了不同的数据库服务协议如下:

2.3 重要网站资产不规范带来安全隐患

2.3.1  僵尸网站

僵尸网站:指长期不更新或不维护的官方网站,多指政府机关或事业单位等重要单位。此类网站在群众中造成不良影响的同时,也不利于官方信息及时发布。

全国政府机关事业单位中共发现僵尸网站7,544个,其中政府网站2,066个,事业单位5,478个。

2.3.2   非常规端口站点

安全数据大脑针对探测发现的WEB系统进行分析,提取其中非常规web服务器端口开放的系统。

这类WEB服务通常为重要的业务系统,如OA系统,自动化系统,考试评分系统等,往往由于采用的CMS存在漏洞,容易被利用植入后门,引发入侵事件,**黑客入侵的大部分系统即为这类系统。而且由于不必备案,管理缺失,成为了监管盲区,存在较高安全隐患。

这类系统建议进行等保备案,纳入应急重点对象,配备安全防护等措施,全国共有非常规端口站点28,666个。如下图为某公证处网站开放了23,141端口:

这些开放的非常规端口,属于监管单位盲区,不利于网站统一管理,为所在单位的网络环境带来了一定安全风险,其中部分协议可被进行口令爆破,远程控制,或存在协议漏洞可被利用进行病毒传播等。

根据安恒信息监测数据分析发现,2019年以来非常规端口的应用业务系统成为黑客的重点攻击目标。据安全数据大脑统计,今年累计发生109起重大安全事件,其中91起为应用系统(占比83.4%),包括71个为非常规端口(占比78%)。因此对于应用系统,尤其是非常规端口的应用系统需要加强网络安全规范治理,减少不必要的端口开放,加强口令复杂度与账号权限控制,或者进行网络访问控制,降低被入侵的风险。下面将对全国重要行业应用系统进行分析。

三、应用系统资产 

3.1 应用系统整体分布情况

应用系统:这里特指通过BS架构提供特定应用类型的服务,门户站点信息发布类网站除外。

全国WEB资产中应用系统共289.59万应用系统,其中71.5万个以域名形式对外开放,218万个可以通过IP直接访问。

3.1.1  域名应用系统整体分布

全国域名WEB资产中有71.5万个应用系统,除了web业务系统外,整体应用系统类型分布情况如下:

对全国的应用系统进行区域分析,域名应用系统主要资产集中在广东、北京、上海等地,统计其区域分布如下(以备案单位行政归属统计):

对全国主域名备案的应用系统进行行业分析,主要资产集中在企业、政府机关、事业单位等,统计其行业分布如下:

3.1.2  IP应用系统整体分布

全国域名WEB资产中除了web业务系统外,IP应用系统类型分布情况如下:

对全国的应用系统进行区域分析,IP应用系统主要资产集中在浙江、广东、北京等地,统计其区域分布如下(以IP地理归属统计):

3.2 重要行业应用系统类型具体情况

3.2.1  邮箱系统——网络攻击的理想想交付平台

根据安恒信息安全数据大脑探测发现全国应用系统中有94,317个为邮箱系统,主要以阿里、网易等邮箱系统为主:

邮箱系统的一般都是邮箱登录界面,常见登录界面如下:

电子邮件是所有类型网络攻击的理想交付平台,它提供的机制使攻击者能够在任何目标前放置几乎任何类型威胁。除了邮箱本身存在垃圾邮件和病毒邮件问题,使用者在使用过程中存在弱密码问题。最具危险性的是,攻击者冒充系统管理员发送邮件,骗取企业员工信息的OA钓鱼邮件。邮件已经成为安全威胁的载体和黑客发起渗透攻击的跳板。

随着我国“一带一路”等战略的推进,越来越多的黑客组织将目标盯上国内的政府与大型企业,高级持续攻击已经成为长期持续的安全威胁,与邮件有关的数据泄露将是政府机构与企业面临的长期安全挑战。

3.2.2  摄像头/路由器控制台——僵尸网络&隐私泄露的潜在威胁

根据安恒信息安全数据大脑探测发现全国应用系统中有148,195个为摄像头控制台,1150,024个为路由器控制台。通过对厂商进行分析识别,主要的摄像头厂商为大华,路由器厂商为华硕。

路由器和摄像头已经广泛应用到生活中,市场保有量巨大,且设备在出厂时,使用的默认登录密码为弱口令或者缺省密码,一旦被爆出漏洞,极易引发大范围的攻击。下图为某路由器控制台界面:

用户在使用时并未重置密码或重置为强密码,这就导致攻击者能够通过口令爆破登录设备管理平台,观看监控视频数据,劫持网络,并且获取这类设备的控制权,大量被控的摄像头、路由器形成大型僵尸网络事件,如Gafgyt恶意软件将路由器捆绑至僵尸网络,黑客可以借此发动DDoS攻击。2月19日,据国家互联网应急中心CNCERT监测发现,境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。

类似攻击以及信息泄露事件表明,联网摄像头和路由器管理系统的安全问题不容乐观,安全状况如不加以控制,黑客通过其衍生的僵尸网络可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以发送垃圾邮件、窃取秘密以及滥用资源,还可以用来从事网络欺诈等其他违法犯罪活动,对全国的网络安全带来严峻挑战。

3.2.3  其他WEB业务系统——安全隐患重重

除了上述说的三种应用系统外,全国应用系统中57,364个OA系统、22,167个防火墙系统等。

在这部分应用系统中,OA系统主要以通达、e-ecology、致远等为主。主要分布如下:

 OA系统今年爆发了多次0day漏洞,通过梳理OA系统的资产,可以协助监管单位对指定的OA系统进行漏洞排查,提前认清风险,找出漏洞,通报结果,督促整改。

四、整体态势研判 

4.1 应用系统面临的威胁越来越多

目前,门户网站的防护已经越来越完善,网络攻击者逐渐将目标转向了监管盲区资产——应用系统,应用系统往往采用非常规端口或者是IP直接访问,而这类系统往往由于采用的CMS存在漏洞,容易被利用植入后门,引发入侵事件。据安全数据大脑统计,今年累计发生109起重大安全事件,其中91起为应用系统(占比83.4%),包括71个为非常规端口(占比78%)。这类应用系统往往不在重点防护范畴,大多是监管盲区资产,随着门户网站的防护不断加强,攻击难度越来越大,越来越多的网络攻击者将目标转向了这类高安全隐患系统。

4.2 CDN/IDC将成为重点防护对象

目前全国重点网站基本都接入了云防护,作为向最终用户提供高可用和高性能内容的经销商,CDN成为防护的关键点,而IDC机房则是是云计算和CDN的基础,是整个互联网世界的大后方。此类提供集群服务的重要节点,一旦受到了攻击,影响范围广泛。近期,就安全研究人员发现了一种针对CDN缓存功能的DoS攻击——CPDoS,在攻击成功后,用户就无法正常访问那些使用了CDN的网站。此类重要节点的防护至关重要,全面掌握相关的数据和安全情况对于维护网络安全是必不可少的。

4.3 威胁取证和责任定位将是监管的重点突破难点

互联网威胁情报越来越多,各种情报源和情报数据的给监管单位的通报工作提供了大量的数据支撑。但是同时数据量的增大给通报工作带来了众多问题,其一就是威胁情报来源广泛,互相交叉,数据的源头取证困难。同时大量的数据,真正应用率很低,在进行事件下发通报时,对于责任单位的定位困难,通报工作在认证和确认部分耗费大量人工,无法与大量的情报数据匹配,而往往情报是具备时效性的,可以预见威胁取证和责任定位将是监管的重点突破难点。

4.4 针对工控系统的攻击需要重点关注

伊朗核工业事件、乌克兰电网事件、委内瑞拉电网事件,2019年以来,工业控制系统安全事件发生数持续增加,而我国超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现作业,因此,一旦发生安全事故,其造成的社会影响和经济损失非常严重。

4.5 数据泄露带来大量安全隐患

最近多起数据泄漏事件与大多数人息息相关,也引起了国人关于数据泄露的高度重视,今年以来数据泄露事件频发,而且各种骚扰电话也剧增以及电信诈骗的兴起,都意味着个人的隐私安全已经岌岌可危,相关企业和部门需要引高度的重视。

– End -

*本文作者:安恒风暴中心,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/network/229025.html
如有侵权请联系:admin#unsafe.sh